Tentative de scan sur mon SME

par **echelon75** » 21 Nov 2004 03:45

Bonjour,

Voila je possede mon petit serveur en SME 6.0.1 et depuis plusieurs jours un petit malin a scanner le port 22 avec des listes de logins et password.
Mon Password admin n'est pas tres simple a retenir et se compose de 8 caracteres et grace a SME6Admin j'ais recu une notification par SMS (via les EMails de SFR)d'une connexion en SSH sur le serveur.
Bon 10 minutes plus tard je me connecte et je change le password par un password a 16 caracteres ce qui occupera le prochain branleur qui passera sur mon serveur.

Question existe t'il des solutions qui permettent de gerer ce type d'attack a 2 euros?
Par exemple un RPM qui detecte des connexions en serie sur une periode de 5 minutes et qui pourrais fermer les ports SSH ou autre afin de s'autoproteger??

Merci

Richard

voici des log pour le fun
Nov 20 17:42:15 proliant sshd[6343]: Failed password for illegal user cip51 from 211.98.29.125 port 34510 ssh2
Nov 20 17:42:19 proliant sshd[6345]: Failed password for root from 211.98.29.125 port 34548 ssh2
Nov 20 17:42:22 proliant sshd[6347]: Failed password for illegal user noc from 211.98.29.125 port 34586 ssh2
Nov 20 17:42:26 proliant sshd[6349]: Failed password for root from 211.98.29.125 port 34623 ssh2
Nov 20 17:42:30 proliant sshd[6351]: Failed password for root from 211.98.29.125 port 34664 ssh2
Nov 20 17:42:33 proliant sshd[6353]: Failed password for root from 211.98.29.125 port 34704 ssh2
Nov 20 17:42:37 proliant sshd[6355]: Failed password for root from 211.98.29.125 port 34739 ssh2
Nov 20 17:42:41 proliant sshd[6357]: Failed password for illegal user webmaster from 211.98.29.125 port 34772 ssh2
Nov 20 17:42:47 proliant sshd[6359]: Failed password for illegal user data from 211.98.29.125 port 34819 ssh2
Nov 20 17:42:51 proliant sshd[6361]: Failed password for illegal user user from 211.98.29.125 port 34884 ssh2
Nov 20 17:42:54 proliant sshd[6363]: Failed password for illegal user user from 211.98.29.125 port 34929 ssh2
Nov 20 17:42:58 proliant sshd[6365]: Failed password for illegal user user from 211.98.29.125 port 34951 ssh2
Nov 20 17:43:01 proliant sshd[6367]: Failed password for illegal user web from 211.98.29.125 port 34999 ssh2
Nov 20 17:43:05 proliant sshd[6369]: Failed password for illegal user web from 211.98.29.125 port 35037 ssh2
Nov 20 17:43:09 proliant sshd[6371]: Failed password for illegal user oracle from 211.98.29.125 port 35068 ssh2
Nov 20 17:43:12 proliant sshd[6373]: Failed password for illegal user sybase from 211.98.29.125 port 35110 ssh2
Nov 20 17:43:16 proliant sshd[6375]: Failed password for illegal user master from 211.98.29.125 port 35138 ssh2
Nov 20 17:43:20 proliant sshd[6377]: Failed password for illegal user account from 211.98.29.125 port 35182 ssh2
Nov 20 17:43:24 proliant sshd[6379]: Failed password for illegal user backup from 211.98.29.125 port 35230 ssh2
Nov 20 17:43:30 proliant sshd[6381]: Failed password for illegal user server from 211.98.29.125 port 35253 ssh2
Nov 20 17:43:34 proliant sshd[6383]: Failed password for illegal user adam from 211.98.29.125 port 35318 ssh2
Nov 20 17:43:37 proliant sshd[6385]: Failed password for illegal user alan from 211.98.29.125 port 35359 ssh2
Nov 20 17:43:41 proliant sshd[6387]: Failed password for illegal user frank from 211.98.29.125 port 35404 ssh2
Nov 20 17:43:45 proliant sshd[6389]: Failed password for illegal user george from 211.98.29.125 port 35432 ssh2
Nov 20 17:43:49 proliant sshd[6391]: Failed password for illegal user henry from 211.98.29.125 port 35477 ssh2
Nov 20 17:43:53 proliant sshd[6393]: Failed password for illegal user john from 211.98.29.125 port 35509 ssh2
Nov 20 17:43:56 proliant sshd[6395]: Failed password for root from 211.98.29.125 port 35544 ssh2
Nov 20 17:44:00 proliant sshd[6397]: Failed password for root from 211.98.29.125 port 35588 ssh2
Nov 20 17:44:04 proliant sshd[6399]: Failed password for root from 211.98.29.125 port 35625 ssh2
Nov 20 17:44:08 proliant sshd[6401]: Failed password for root from 211.98.29.125 port 35658 ssh2
Nov 20 17:44:11 proliant sshd[6403]: Failed password for root from 211.98.29.125 port 35696 ssh2
Nov 20 17:44:18 proliant sshd[6405]: Failed password for test from 211.98.29.125 port 35735 ssh2

par **Sebastien65** » 21 Nov 2004 16:09

Salut,

Ba moi j'avais utilisé Portsentry sur ma SME... Regardes sur le forum en faisiant une recherche avec "portsentry"

Mais comme j'avais dis, je ne parviens pas vraiment a le faire fonctionner... Essayes peut être que tu auras plus de chance que moi... J'ai même essayé de le faire tourner sur une Debian mais toujours la même chose :cry:

par **G2L--** » 21 Nov 2004 18:37

echelon75 a écrit:Question existe t'il des solutions qui permettent de gerer ce type d'attack a 2 euros?

Salut,

Si tu veux dormir si tes deux oreilles et laisser ton port ssh ouvert, regarde à utiliser une authentification par clés plutôt que de te contenter d'un mot de passe. Le seul problème c'est qu'il faut mettre les mains dans le camboui ...

@+

par **Landry** » 21 Nov 2004 20:09

Hello.

Je precise juste que ma contrib (sme6admin) ne detecte pas une vraie connexion ssh effective/reussie dans ce cas, c'est juste que comme le port 22 est 'achment en activité elle voit ca comme une connexion TCP simple. C'est un faux positif, ton serveur n'a pas ete piraté (normalement). Tu peux le voir dans la liste des connexions ssh, il ne doit pas y avoir de ligne verte (connexion root reussie) qui ne vienne pas de toi.

Ct juste une precision.

par **guiguid** » 21 Nov 2004 20:17

Salut,

perso j'utilise Snort + PSAD + Guardian (4 tenatives = bloquage pour 15 minutes), ca calme pas mal de monde.... et me laise le temps d'agir.

A+

par **Sebastien65** » 21 Nov 2004 20:23

Salut,

guiguid peut tu me donner plus d'infos sur PSAD ?? Je n'ai jamais entendu parlé :roll:

Merci

par **echelon75** » 22 Nov 2004 11:10

Merci pour vos reponses je vai me monter une machine de test et voir la solution portentry et snort+acid
Pour SME6admin ,effectivement je pense que le hacker n'as pas reussi a se connecter (enfin j'espere) puisque apres analyse il n'y avais pas de signal de connection positive dans mes logs.
Mais grace a SME6admin j'ais pu reagir en augmentant la longueur de mon mot de passe ROOT et en rebootant ma machine ce qui semble decourager le hacker en herbe...

Cordialement

Richard

par **guiguid** » 22 Nov 2004 13:59

voila voila,
http://www.cipherdyne.com/psad/faq.html#psad
http://www.cipherdyne.com/psad/features.html

exemples d'alertes : http://www.cipherdyne.com/psad/sample_alerts/

par **Sebastien65** » 22 Nov 2004 22:14

Bonsoir,

Merci guiguid pour les liens

Je vais essayer sur ma SME et je vous tiens au courant

Par la même ocase je vais voir si je peux faire tourner ça sur une Debian :roll:

par **dgaga2** » 26 Nov 2004 11:10

Bonsoir,

merci guiguid pour les liens Je vais essayer sur ma SME existe t il une procedure d'installation.

merci de ta reponse guiguid

Tentative de scan sur mon SME

Tentative de scan sur mon SME

Re: Tentative de scan sur mon SME

Qui est en ligne ?